Le cadre règlementaire de la

protection des données de santé

en France
Léah PEREZ – 30.09.2021
1
 Introduction

2
Comprendre les origines de la réglementation

• Affaire des fiches en 1904 : fichage politique et confessionnel des

officiers de l’Armée, réalisé par le Grand Orient de France pour le
compte du Ministre de la guerre. Ces fiches de renseignement
servaient à bloquer l’avancement des militaires identifiés comme
« bons » catholiques (volonté de laïciser l’armée française).
• Affaire SAFARI en 1974 : projet d’interconnexion des fichiers
nominatifs de l’administration via le NIR, révélé par Le Monde.

https://www.dailymotion.com/video/x1b81vd
3 https://www.ina.fr/video/CAB7600764601
Comprendre les origines de la réglementation

Les mesures législatives nationales adoptées dans les années 70

(Allemagne, Suède, USA…) avaient pour objectif premier de protéger le
citoyen contre les risques d’ingérence des administrations dans la
sphère privée, dans un contexte d’émergence de l’informatique.
• Adoption de la loi du 6 janvier 1978 relative à l’informatique, aux
fichiers et aux libertés.
• Création d’une autorité administrative indépendante pour contrôler le
respect du socle de nouveaux principes encadrant les traitements de
données personnelles = la CNIL.
• Instaure un régime d’autorisation pour les traitements du secteur
public et un régime de déclaration pour les traitements du secteur
privé.

4
Comprendre les origines de la réglementation

80’s : Prise de conscience progressive au niveau européen

(OCDE) et international (OMC, OIT…) de la nécessité de
concilier la liberté de circulation de l’information et le respect
de la vie privée.

Directive n°95/46 d’octobre 1995 : volonté d’harmoniser les

législations nationales dans un contexte de développement de
la micro-informatique en entreprise et de libre circulation des
données. Grande marge d’appréciation laissée aux Etats.

Plusieurs retouches apportées entre 2004 et 2016 à la loi

informatique et Libertés qui vont dans le sens d’un
renforcement de la protection (augmentation des sanctions,
reconnaissance de nouveaux droits…)

5
Le RGPD : étape charnière de l’évolution du cadre réglementaire

• Adoption du RGPD le 27 avril 2016 –

Entrée en application le 25 mai 2018.

• Facteurs contextuels d’adoption :

o Transposition hétérogène de la Directive 95/46 dans les

pays membres de l’UE ;
o Evolution des technologies, au service de la prédictibilité
et de la personnalisation ;
o Mondialisation des échanges de données et apparition des
« paradis de données » ;
o Vague sécuritaire (lois anti-terroriste après 2001…) ;
o Accroissement des risques liés à l’exposition de soi sur
internet ;
o Multiplicité des acteurs, créant un risque de dilution des
responsabilités ;
o Impuissance des autorités de contrôle face à de nouveaux
enjeux dans un cadre juridique défini en 1995 ;
o Difficulté d’insertion d’une gouvernance dynamique et
efficace de protection des données personnelles au sein
6
des organisations.
Le RGPD : étape charnière de l’évolution du cadre réglementaire

Objectif général: garantir un niveau élevé de protection des

données personnelles à l’échelle de l’Union Européenne

Effet extraterritorial :
Respect des droits
Toutes les entités des personnes
publiques comme privées y
sont soumises, dès lors
qu’elles sont implantées en
Europe OU qu’elles traitent
des données de personnes
situées sur le territoire
Renforcement Responsabilisation
européen (ces 2 conditions des sanctions des acteurs
sont alternatives et non
cumulatives).

7
Pourquoi le RGPD est un tournant crucial ?

Passage d’une logique « bureaucratique » classique de formalités

administratives préalables à une logique d’ « accountability » ou de
« conformité continue » consistant à responsabiliser les acteurs (=
compliance). La compliance est la capacité à démontrer sa
conformité à travers la mise en œuvre de procédures et la tenue d’une
documentation interne.

8
Les principales évolutions introduites par le RGPD

• Augmentation significative du montant des

sanctions pouvant être infligées par les autorités
de protection des données (la CNIL en France) ;
• Obligation de nommer un délégué à la protection
des données (= DPO) dans certains cas ;
• Renforcement des droits des personnes
concernées : confirmation et consolidation des
droits existants + introduction de droits nouveaux ;
• Obligation de tenir un registre des traitements ;
• Obligation de réaliser des analyses d’impact avant
la mise en œuvre des traitements qui présentent
un risque élevé.
• Introduction d’une exigence transversale de prise
en compte de la protection des données dès la
conception des projets et à tous les stades de
son avancement (Privacy by Design).

9
 Le régime de protection
applicable aux données à
caractère personnel

10
 Les notions clés

11
Donnée personnelle

= Toute information se rapportant à une personne physique

identifiée ou identifiable

§ Identification directe ou indirecte:

✸ Directe : nom, prénom
✸ Indirecte: numéro de sécurité sociale, plaque
d’immatriculation, numéro de carte bleue, image, voix
§ Identification possible par croisement:
✸ Exemple: un homme vivant à telle adresse, né tel jour et
membre de telle association

Les données exclusivement relatives à une personne morale ou

effectivement anonymisées ne sont pas concernées

12
Donnée personnelle

Exemples

• Les réponses données dans les copies d’examen et

les annotations de l’examinateur qui s’y rattachent
(CJUE, 2017)
• Une adresse mail
• Une adresse IP fixe (CJUE, 2011) ou dynamique
(CJUE, 2016)
• Un numéro de sécurité sociale
• Un numéro d’adhérent
• Une adresse postale
• Un numéro de CB
• Une plaque d’immatriculation
• Le tatouage d’un animal … !

13
Classification des données personnelles

On peut distinguer 3 catégories de données, au regard de leur niveau

de criticité pour la vie privée :

Degré de sensibilité

Données
Données perçues Données
courantes comme sensibles
sensibles

Niveau de protection
14
Données sensibles

L’origine
ethnique ou
raciale

Les données Les opinions

politiques,
relatives à la philosophiques,
vie et les convictions
l'orientation
sexuelle
ART. religieuses ou
l’appartenance
syndicale
9
RGPD

Les données Les

génétiques et données
biométriques
de santé

15
Donnée de santé

Les données de santé sont les données relatives à la santé physique

ou mentale, passée, présente ou future, d’une personne physique (y
compris la prestation de services de soins de santé) qui révèlent des
informations sur l’état de santé de cette personne.

Données de santé par nature : antécédents

médicaux, maladies, prestations de soins
réalisés, résultats d’examens, traitements,
handicap, etc.

Données qui, du fait de leur croisement avec

d’autres données, deviennent des données
de santé en ce qu’elles permettent de tirer
une conclusion sur l’état de santé ou le
risque pour la santé d’une personne

Données qui deviennent des données de

santé en raison de leur destination, c’est-à-
dire de l’utilisation qui en est faite au plan
médical.

16
Données perçues comme sensibles

Cette catégorie ne figure pas en tant que telle dans le règlement ;

c’est une catégorie « intermédiaire » créée par les autorités de
contrôle.

Données « intimes » : informations relatives aux difficultés

sociales des personnes … ;
Données financières : données fiscales, n° de CB, aides
sociales perçues … ;
Données particulièrement protégées par le droit national : NIR
(Chapitre dédié au sein de la LIL).
Données des mineurs.

17
Traitement de données

Toute opération de collecte ou d’exploitation des données à

caractère personnel.

Exemple : extraction, consultation, enregistrement, stockage,

organisation, structuration, modification, utilisation,
interconnexion, destruction, transmission …

18
Responsable de traitement

Personne physique ou morale (société, organisme public…) qui

détermine les finalités et les moyens d’un traitement.

Doit respecter l’ensemble des règles et principes posés par le

RGPD et peut être sanctionné en cas de manquement.

Il peut exister plusieurs responsables d’un même traitement,

on parle alors de responsables conjoints.

19
Sous-traitant

Personne physique ou morale (société, organisme public…) qui traite

des données personnelles pour le compte et sur instructions du
responsable de traitement.

Est soumis à certaines obligations issues du RGPD, en

particulier à l’obligation d’assurer la sécurité des données.

Doit avoir conclu un contrat avec le RT qui définit ses

engagements en matière de protection des données.

Exemples :

• Un éditeur de logiciel de gestion RH en

mode SaaS
• Un hébergeur (AWS, Microsoft Azure, OVH
…)
• Un cabinet comptable assurant la gestion de
la paie pour la société X

20
Anonymisation et pseudonymisation

ANONYMISATION PSEUDONYMISATION

= ensemble de techniques qui = traitement qui consiste à remplacer

permettent de rendre IMPOSSIBLE des données directement
toute identification de la personne de identifiantes (ex : nom + prénom)
manière IRREVERSIBLE. par des données indirectement
identifiantes (ex : alias, n°…).
Interprétation très stricte : Il ne suffit pas de supprimer le
nom et le prénom d'une personne dans une base de
données pour considérer que les informations qu'elle La réidentification de la personne reste possible
contient par ailleurs sont anonymisées : si je sais que la grâce à des données « tierces ». C’est donc
personne 123 a 53 ans, habite au 1 avenue des Champs une opération REVERSIBLE, mais c’est tout de
Elysées et conduit une berline immatriculée AAA XXX 75, il
même une mesure de protection préconisée.
restera toujours possible d'identifier la personne en question
en recoupant ces informations avec d'autres.
En revanche, si les seules informations conservées dans la
base sont que la personne 123 est âgée de plus de 40 ans,
habite en île de France et conduit un diesel, on pourra
considérer que les données sont anonymisées car le niveau
de généralité des informations ne permet pas de les relier à
une personne précise.

21
 Les principes
fondamentaux

22
1) Principe de licéité du traitement

D’une part, le traitement doit avoir un objet licite et porter sur des données dont
la collecte n’est pas interdite par principe.
D’autre part, le traitement doit reposer sur une base juridique identifiée.

Le consentement de la
personne concernée au
traitement pour une ou
plusieurs finalités
spécifiques ;

Les intérêts légitimes L’exécution d’un contrat

du RT ou d’un tiers, sauf ou des mesures
en cas de prévalence précontractuelles prises
des droits et libertés de à la demande de la
la personne concernée. personne concernée ;

L’exécution d’une
mission d’intérêt public Le respect d’une
ou relevant de obligation légale à
l’exercice de l’autorité laquelle le RT est
publique dont est soumis ;
investi le RT ;
La sauvegarde des
intérêts vitaux de la
personne concernée ou
d’une autre personne
23 physique ;
L’interdiction de traiter les données sensibles
En principe, il est interdit de collecter et de traiter des données sensibles (dont
les données de santé).

Mais ce principe est assorti de nombreuses dérogations, notamment :

Consentement exprès de la personne

Traitement nécessaire aux fins de la médecine préventive, de

la prise en charge sanitaire et sociale (…) par un professionnel
de santé

Traitement nécessaire à la sauvegarde des intérêts vitaux

Lien vers l’article 9 RGPD : https://www.privacy-regulation.eu/fr/9.htm

24
QUIZZ

Sur quelles bases légales pourraient reposer les traitements suivants ?

1. Le recueil de l’adresse postale des clients d’un site de e-

commerce afin de livrer les produits commandés
2. Le recueil de l’adresse mail des visiteurs d’un site de e-commerce
afin de leur envoyer une newsletter
3. L’enregistrement de la plaque d’immatriculation d’un véhicule par
un A.S.V.P. pour la gestion du stationnement payant.
4. Le traitement par Pôle emploi d’informations relatives aux parcours
universitaire et professionnel d’une personne s’inscrivant au
chômage.
5. La mise en place de badges d’accès biométriques par une
entreprise en charge de la gestion d’un site classé SEVESO.
6. La collecte de CV dans le cadre d’une campagne de recrutement.

25
QUIZZ

Sur quelles bases légales pourraient reposer les traitements suivants ?

1. Le recueil de l’adresse postale des clients d’un site de e-

commerce afin de livrer les produits commandés = Exécution
d’un contrat
2. Le recueil de l’adresse mail des visiteurs d’un site de e-
commerce afin de leur envoyer une newsletter = Consentement
3. L’enregistrement de la plaque d’immatriculation d’un véhicule par
un A.S.V.P. pour la gestion du stationnement payant = Exécution
d’une mission d’intérêt public ou exercice de l’autorité publique.
4. Le traitement par Pôle emploi d’informations relatives aux
parcours universitaire et professionnel d’une personne s’inscrivant
au chômage = Exécution d’une mission d’intérêt public ou
exercice de l’autorité publique.
5. La mise en place de badges d’accès biométriques par une
entreprise en charge de la gestion d’un site classé SEVESO =
Intérêts légitimes liés à la sécurité des biens et des personnes.
6. La collecte de CV dans le cadre d’une campagne de recrutement
= Intérêts légitimes OU exécution de mesures précontractuelles
prises à la demande des personnes concernées.

26
QUIZZ

Une start-up russe a développé une application de

covoiturage qu’elle distribue en France, en Allemagne et aux
Etats-Unis. L’entreprise n’a cependant aucun établissement
physique situé dans ces pays ; les traitements liés à son
activité sont effectués depuis ses locaux situés à Moscou.
Les données sont hébergées en Ukraine.

Le RGPD est-il applicable aux traitements de données

personnelles que cette entreprise met en œuvre pour fournir
ses services ?

27
QUIZZ

Parmi ces informations, lesquelles peuvent être qualifiées

de données sensibles ?

a) Le numéro de carte bancaire

b) Une ordonnance médicale
c) Un numéro de téléphone
d) Un extrait de casier judiciaire non vierge
e) Une plaque d’immatriculation
f) Une empreinte veineuse de la main

28
QUIZZ

Parmi ces informations, lesquelles peuvent être qualifiées

de données sensibles ?

a) Le numéro de carte bancaire

b) Une ordonnance médicale
c) Un numéro de téléphone
d) Un extrait de casier judiciaire non vierge
e) Une plaque d’immatriculation
f) Une empreinte veineuse de la main

29
QUIZZ

Vrai ou Faux : le responsable de traitement doit

systématiquement recueillir le consentement des
personnes concernées pour tous les traitements qu’il met
en œuvre.

30
2) Principe de détermination des finalités du traitement

Tout traitement doit poursuivre des finalités claires et définies en

amont par le Responsable de traitement :

Déterminées : fixées limitativement et préalablement à la mise

en œuvre du traitement.
Explicites : formalisées dans un document écrit et portées à la
connaissance des personnes concernées. Elles ne peuvent être
induites ou présumées.
Légitimes : mise en balance entre les intérêts légitimes liés à la
nature de l’activité du RT et la protection des droits et libertés
fondamentaux de la personne concernée.

Les données ne doivent pas être traitées ultérieures pour d’autres

finalités.
Exemple :
• Banque mettant en place un système de vidéosurveillance pour assurer la sécurité dans ses
locaux. Elle doit donc informer les salariés et clients qui pénètrent dans l’enceinte de
l’existence du dispositif et de sa finalité sécuritaire. Mais elle ne peut utiliser les images pour
contrôler le respect des horaires par ses employés.
• Gendarme consultant les fichiers de gendarmerie pour rechercher des informations
31 concernant l’employeur de sa fille
3) Principe de loyauté et de transparence

Les personnes dont les données personnelles sont traitées doivent

être informées préalablement de l’existence du traitement et de ses
caractéristiques.

Identité et coordonnées du responsable

Base légale et finalités du traitement

Droits dont les personnes disposent + modalités d’exercice

Destinataires des données

Durée de conservation des données

Existence d’une prise de décision automatisée ou d’un

profilage
32
4) Principe de minimisation des données
Les données collectées doivent être pertinentes,
adéquates et limitées à ce qui est nécessaire au
regard des finalités pour lesquelles elles sont
collectées.
Exemple : Collecte d’informations
relatives à la situation professionnelle
des parents ou sur l’apparence physique
lors d’un entretien d’embauche
=>,données non pertinentes.
Attention aux zones de commentaire libre : Ces
champs libres, difficilement contrôlables,
peuvent contenir des données sensibles ou
inadéquates.
Il faut donc, dans la mesure du possible, les
bannir. A défaut, il appartient au RT de donner
des directives strictes quant au contenu de ces
champs.
33
Affaire Acadomia : avertissement
public de la CNIL en 2010 en
raison de commentaires excessifs
et injurieux dans ses fichiers élèves
: « gros con ; cancer du poumon
mérité ; retourné en prison ; crétin
; sent le tabac et la cave ;
hospitalisé en urgence pour une
tumeur cancéreuse stade 3 etc… »
Affaire FO, 2018 : fichage interne
des cadres révélé par le Canard
enchaîné début octobre : « ordure
; niais ; trop intelligent ; franc-
maçon ; complètement dingue ;
voleur … ». Instruction clôturée par
la CNIL.
Affaire Ecole 42, 2018 :
association mise en demeure par
la CNIL le 8 octobre :
« diagnostiqué de plusieurs
maladies graves ; dépression ; sa
mère a eu un cancer juste avant la
rentrée … ».
QUIZZ

Sur son site internet, une entreprise de travaux de rénovation

propose un formulaire dématérialisé de demande de devis. A votre
avis, quelles sont les informations qui peuvent légitimement être
collectées via ce formulaire ?

o Le numéro de téléphone de la personne

o L’adresse e-mail
o Le montant des impôts fonciers
o Le numéro de carte bancaire
o Le nom et le prénom de la personne
o La date de construction du bien à rénover
o Le sexe du demandeur

34
QUIZZ

Sur son site internet, une entreprise de travaux de rénovation

propose un formulaire dématérialisé de demande de devis. A votre
avis, quelles sont les informations qui peuvent légitimement être
collectées via ce formulaire ?

o Le numéro de téléphone de la personne (si

facultatif)
o L’adresse e-mail
o Le montant des impôts fonciers
o Le numéro de carte bancaire
o Le nom et le prénom de la personne
o La date de construction du bien à rénover
o Le sexe du demandeur

35
5) Principe de limitation de la durée de conservation

Les données collectées doivent être conservées pour une

durée qui n’excède pas celle nécessaire au regard des
finalités pour lesquelles elles sont traitées.

36
6) Principe de sécurité

Obligation de mettre en place des mesures techniques et

organisationnelles (MTO) appropriées pour garantir l’intégrité et la
confidentialité des données, notamment contre un accès non autorisé,
la perte, la destruction ou l’altération des données.

La définition des MTO repose sur la prise

en compte des éléments suivants :
L’état des connaissances et les coûts de mise en
œuvre ;

La nature, la portée, le contexte et les finalités du

traitement ;

Les risques, dont le degré de probabilité et de

gravité varie, pour les droits et libertés des
personnes physiques

Obligation de notifier les violations de

données (= faille de sécurité) à la CNIL
dans un délai max de 72h
37 https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
7) Principe d’interdiction des transferts hors UE

Les données peuvent circuler librement au sein de l’UE, de l’EEE

et vers les pays reconnus comme disposant d’un niveau de
protection adéquat.
En revanche, transfert de données hors UE interdit sauf
garanties spécifiques :

Codes
Clauses
BCR CCT de
ad Hoc
conduite

38
7) Principe d’interdiction des transferts hors UE

39
 Les droits des
personnes

40
Les droits des personnes

Le droit d’être préalablement informé

Le droit d’accès
Le droit d’opposition
Le droit de rectification
Le droit à l’effacement ou droit à l’oubli
Le droit à la portabilité des données
Le droit de ne pas faire l’objet d’une décision
automatisée

41
1) Le droit d’être préalablement informé

La logique de transparence innerve l’ensemble des dispositions du RGPD.

Pour que la transparence soit effective, l’information donnée doit être
concise, transparente, compréhensible et aisément accessible.

Finalité(s), base légale Caractère obligatoire

Destinataires ou
Identité du RT et du traitement (le cas ou facultatif des
catégories de
coordonnées de son échéant, nature des réponses (formulaire)
destinataires des
DPO intérêts légitimes + conséquences d’un
données
poursuivis) défaut de réponse

Durée de conservation
Droits de la personne Existence éventuelle Existence éventuelle
des données ou
concernée + modalités d'un transfert de d'une prise de décision
critères utilisés pour la
d’exercice données hors UE automatisée
définir

Catégorie de données
Origine des données Uniquement en cas de collecte indirecte
personnelles

42
1) Le droit d’être préalablement informé

43
2) Le droit d’accéder à ses données

Droit d’une personne d’obtenir

copie de l’ensemble des Vérification de
l’identité
données que le RT a collecté
et traité la concernant.
Information du
DPO
Délai : 1 mois (avec
prorogation possible si
justification).
Documentation
Il convient d’accuser réception de la demande

des demandes.
Principe de gratuité, sauf Recensement
demandes abusives des données
détenues

Il faut définir une procédure Transmission

interne pour répondre à sécurisée des
données
l’exercice de ce droit.
44
3) Les droits d’opposition et de rectification

Droit de s’opposer à tout moment au traitement de ses données pour

des raisons tenant à sa situation particulière.
Nb : Dans certains cas, le droit d’opposition est discrétionnaire (ex : en
matière de prospection commerciale.

Droit d’obtenir la rectification de données inexactes ou équivoques,

et droit d’obtenir que des informations incomplètes soient
complétées.

45
3) Le droit à l’effacement

Art. 17 RGPD : La personne concernée a le droit d'obtenir

que ses données soient supprimées lorsque l’un des 6 motifs
suivants s’applique :

Elles ne sont plus nécessaires à la poursuite de la

finalité pour laquelle elles ont été collectées
La personne a retiré son consentement
Le traitement est illicite
La personne s’est opposée au traitement et le RT n’a
pas de motif légitime impérieux à les traiter
Obligation légale d’effacement
DCP collectées dans le cadre de l’offre de services de
la société de l’information

46
4) Le droit à la portabilité

Les personnes concernées peuvent désormais demander au RT :

Que leurs données leurs soient communiquées sous un format

« structuré, couramment utilisé et lisible par machine » (Excel,
CSV par exemple).

« Si c’est techniquement possible », de transmettre ces

données à un autre responsable de traitement.

Champ d’application restreint :

Base juridique de la collecte :

consentement de la personne ou
exécution d’un contrat

Traitement effectué par des procédés

automatisés
47
5) Le droit de ne pas faire l’objet d’une décision automatisée

Droit de ne pas faire l'objet d'une décision fondée exclusivement sur

un traitement automatisé, y compris le profilage, produisant des
effets juridiques ou l'affectant de manière significative de façon
similaire.

Limites / dérogations :
Nécessité liée à la conclusion Dans le cas du
ou à l’exécution d’un contrat consentement ou du
entre la personne et le RT contrat, le RT met en
place des MTO
Autorisation par le droit de l'Union ou comprenant a minima
le droit de l’Etat membre auquel le le droit de la personne
responsable du traitement est soumis concernée d’obtenir
et qui prévoit également des mesures une intervention
appropriées humaine, d’exprimer
son point de vue et de
Consentement explicite de la
contester la décision.
personne concernée

48
7) Droits exerçables en fonction de la base légale choisie

Source : CNIL.fr
49
 Les outils de
gouvernance des
données

50
Le rôle du Data Protection Officer (DPO)

Conseille le RT ou
le ST sur leurs
obligations

Externe ou interne
Contrôle le
respect des
Point de contact Indépendant
règles de
de la CNIL
protection des
données
Compétent

Participe à la Moyens suffisants

Conseil sur la
diffusion de la
réalisation des
culture
analyses
informatique et
d’impact
libertés

51
Le registre des traitements

Obligation de recenser les traitements mis en œuvre dans un

document unique
Version all inclusive pour les RT :
1. Le nom et les coordonnées du responsable du
traitement et, le cas échéant, du responsable
conjoint du traitement, du représentant
responsable du traitement et du délégué à la
protection des données ;
2. Les finalités du traitement ;
3. Une description des catégories de personnes
concernées et des catégories de données à
caractère personnel ;
4. Les catégories de destinataires auxquels les
données à caractère personnel ont été ou seront
communiquées (dans la mesure du possible), y
compris les destinataires dans des pays tiers ou des
organisations internationales;
5. Les transferts de données à caractère personnel
vers un pays tiers (identification du pays, documents
attestant de l’existence de garanties appropriées) ;
6. Délais prévus pour l'effacement des différentes
catégories de données (dans la mesure du possible)
7. Description générale des mesures de sécurité
techniques et organisationnelles visées à l'article 32,
paragraphe 1 (dans la mesure du possible)
Version light pour les ST :
1. Le nom et les coordonnées du ou des sous-traitants et
du de chaque responsable du traitement pour le compte
duquel il agit et le cas échéant, les noms et les
coordonnées du représentant du responsable du
traitement ou du sous-traitant et celles du délégué à la
protection des données ;
2. Les catégories de traitements effectués pour le compte
de chaque responsable du traitement ;
3. Les transferts de données à caractère personnel vers
un pays tiers (identification du pays, documents attestant
de l'existence de garanties appropriées);
4. Description générale des mesures de sécurité
techniques et organisationnelles visées à l'article 32,
paragraphe 1 (dans la mesure du possible)

52
A quoi ressemble une fiche de traitement ?

53
Les analyses d’impact sur la protection des données

Une analyse d’impact sur la vie privée (AIPD) ou privacy impact

assessment (PIA) est un processus dont l’objet est de décrire le traitement,
d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les
risques pour les droits et libertés des personnes physiques liés au
traitement de leurs données à caractère personnel, en les évaluant et en
déterminant les mesures nécessaires pour y faire face.

Une AIPD n’est requise que

Une description lorsque le traitement est «
systématique des Une évaluation de
opérations de la nécessité et de susceptible d’engendrer un risque
traitement
envisagées et des
la proportionnalité
des opérations de
élevé pour les droits et libertés
finalités du traitement ; des personnes physiques ».
traitement ;

Doit être réalisée avant la mise

Les mesures en œuvre du traitement. Elle doit
envisagées pour :
Une évaluation des être mise à jour au cours de la
risques pour les • faire face aux risques ;
• Apporter la preuve du
droits et libertés respect du règlement. « vie » du traitement, a minima
des personnes
concernées ; tous les 3 ans.

54 https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd
La gestion des violations de données personnelles (1/4)

Définition : une violation de la sécurité entraînant, de manière

accidentelle ou illicite, la destruction, la perte, l'altération, la
divulgation non autorisée de données à caractère personnel
transmises, conservées ou traitées d'une autre manière, ou l'accès
non autorisé à de telles données.

En cas de violation : notification à la CNIL 72h au plus tard

après en avoir pris connaissance, sauf si la violation
n’engendre aucun risque pour les personnes concernées.
En cas de violation chez un ST, le ST notifie au RT toute
violation de données dans les meilleurs délais après en avoir
pris connaissance.

55
Le contenu du dossier de notification à la CNIL (2/4)
https://notifications.cnil.fr/notifications/index

Communication du nom et
des coordonnées du DPO ou
Description de la nature de d'un autre point de contact
la violation de données à auprès duquel des
caractère personnel informations
supplémentaires peuvent
être obtenues;

Description des mesures

prises ou que le responsable
du traitement propose de
Description des prendre pour remédier à la
conséquences probables de violation de données à
la violation de données à caractère personnel, y
caractère personnel; compris, le cas échéant, les
mesures pour en atténuer
les éventuelles
conséquences négatives

56
L’information des personnes en cas de violation (3/4)

Ne s’impose qu’en cas de violation entraînant un risque élevé

pour les droits et libertés des personnes.

RT doit communiquer la violation dans les meilleurs délais :

• Les faits concernant la violation
• Ses effets et les mesures prises pour y remédier

La CNIL peut imposer la communication aux personnes

concernées.

57
Arbre décisionnel en cas de violation (4/4)

58
 Le régime spécifique
applicable aux données de
santé à caractère
personnel

59
 Pourquoi les données de santé font l’objet d’une protection
renforcée ?

Les données personnelles de santé sont considérées comme des

informations sensibles en raison des risques pour la vie privée des
personnes concernées générés par leur disparition, leur divulgation ou leur
altération.
Ex.:

1) Une indisponibilité des données de santé à un moment crucial (intervention chirurgicale,

administration de médicaments, consultation…) peut entraîner une imprécision, des retards
ou des erreurs dans les diagnostics ou les soins, et se traduire par une perte de chance pour
le patient par méconnaissance de son contexte et de ses historiques médicaux ;
2) Un défaut d’intégrité des données de santé, comme l’altération accidentelle ou illégitime
d’un dossier de santé, ou de paramétrage d’un équipement biomédical, est susceptible
d’entraîner des erreurs médicales, voire un préjudice vital envers le patient, associés à une
perte d’image et des poursuites légales à l’encontre des professionnels de santé ;
3) Un défaut de confidentialité d’un document de santé, comme la divulgation aux services
d’une société d’assurance ou d’un employeur d’un résultat positif de dépistage d’une tumeur
maligne pourrait porter préjudice au patient, puis par voie de conséquence au professionnel
de santé et/ou au responsable du système d’information de santé responsables de la perte
de confidentialité.

Source : Principes fondateurs de la PGSSI-S,

juillet 2013.
60
 Pourquoi les données de santé font l’objet d’une protection
renforcée ?

61
Le renforcement des droits des patients par la loi du 4 mars 2002

La loi du 4 mars 2002 relative aux droits des malades et à la qualité du système
de santé (loi Kouchner) a posé les bases d’une protection consolidée de la vie
privée du patient.

Droit d’accès direct à son dossier médical (article L. 1111-7 du CSP) sous un
délai max. de 8 jours après sa demande (mais pas moins de 48h). Délai porté
à 2 mois lorsque les informations datent de + de 5 ans.

Nécessité d’une certification des hébergeurs de données de santé (article

L. 1111-8 et suivants du CSP)

Exigence d’un consentement libre et éclairé du patient à l’acte médical,

qui peut être retiré à tout moment

62
 L’échange et le partage des
données de santé

63
 Secret professionnel et données de santé

L’article L. 1110-4 du code de la santé publique (CSP) définit les règles

d’échange et de partage des données de santé.

Source : FEHAP - ASIP santé.

64
 Secret professionnel et données de santé : les règles d’échange et de
partage

La notion d’équipe de soin structure désormais les règles d’échange et de

partage.

Définition (article 1110-12 du CSP) :

« Ensemble de professionnels qui participent directement au profit d’un

même patient à la réalisation d’un acte diagnostique, thérapeutique, de
compensation du handicap ou de prévention de perte d’autonomie, ou
aux actions nécessaires à leur coordination et qui …

Exercent dans la Se sont vus Exercent dans un

même structure (ES, OU reconnaître cette OU ensemble comprenant au
ESMS, structure de moins un ES et respectant
coopération etc.) qualité par le patient un cahier des charges

Décret 2016-996 du Arrêté du Ministre de la santé

65 20 juillet 2016 du 25 nov. 2016
 La sécurité et l’hébergement
des données de santé

66
 La politique générale de sécurité des systèmes d’information de
santé (PGSSI-S)
« Le développement rapide de l’usage des
technologies de l’information dans le
domaine de la santé constitue un facteur
important d’amélioration de la qualité des
soins. Il s’accompagne toutefois d’un
accroissement significatif des menaces et
des risques d’atteinte aux informations
conservées sous forme électronique et plus
généralement aux processus de santé
s’appuyant sur les Systèmes d’Information
de Santé (SIS). »
Source : propos liminaires aux Principes fondateurs
de la PGSSI-S, juillet 2013.
67
La PGSSI-S est un corpus documentaire
élaboré par l’État en concertation avec les
acteurs de la santé pour fixer le cadre de
la sécurisation des systèmes d’information
de santé. Ce corpus documentaire, et en
particulier ses Principes fondateurs, sont
applicables à tout système d’information,
utilisé en santé (sanitaire et médico-
social), manipulant des données de
santé, que celles-ci soient à caractère
personnel, directement ou indirectement
nominatives, ou qu’elles soient anonymes
(Ex: Logiciel de professionnel de santé,
dispositifs médicaux connectés, bases de
données de santé publique…)
 La politique générale de sécurité des systèmes d’information de
santé (PGSSI-S)

Quelques grands principes énoncés par la PGSSI-S :

Fiabilité de l’identification du patient, donc nécessité d’un

identifiant unique, pérenne, univoque (le NIR, et à partir de 2021,
l’INS).

Maîtrise des accès aux données (systèmes d’authentification, contrôle

strict des habilitations…)

Traçabilité et imputabilité des actions (systèmes de journalisation,

audit régulier des journaux …)

68
 La politique générale de sécurité des systèmes d’information de
santé (PGSSI-S)

Exigence de conformité aux référentiels de sécurité et d’interopérabilité

établis par l’Agence du numérique en santé.

Article L. 1110-4-1 CSP :

« Afin de garantir la qualité et la confidentialité des données de santé à
caractère personnel, les professionnels de santé, les établissements et
services de santé, les hébergeurs de données de santé à caractère
personnel et tout autre organisme participant à la prévention, aux soins
ou au suivi médico-social et social, utilisent pour leur traitement, leur
conservation sur support informatique et leur transmission par voie
électronique, des systèmes d’information conformes aux référentiels
d’interopérabilité et de sécurité » élaborés par l’Agence du Numérique en
santé.

Pour l’heure, les référentiels cités ne sont pas juridiquement opposables, mais ils ont
vocation à le devenir rapidement. Ils constituent donc des normes non contraignantes
auxquelles les acteurs du système de santé ont tout intérêt à se référer.

69
L’utilisation d’une messagerie sécurisée de santé

A la différence d’une messagerie classique, les messageries

sécurisées de santé disposent d’un niveau de sécurité élevé
permettant de répondre aux exigences règlementaires et
déontologiques. Elles possèdent notamment la certification HDS.

Tout professionnel de santé doit utiliser une messagerie sécurisée

de santé pour échanger et partager des données de santé avec
d’autres acteurs du processus de soin.

Cette obligation ne s’impose pas à eux lorsqu’ils communiquent

avec leurs patients. Cependant, ils restent soumis à l’obligation
générale de sécurité. Ils doivent en conséquence chiffrer les
messages et pièces jointes contenant des données sensibles, ou
recourir à une plateforme d’échange sécurisée.

70
L’obligation de recourir à un hébergeur certifié (HDS)

Le code de la santé publique encadre l’activité d’hébergement de données de

santé par une évaluation de conformité à un référentiel de certification, délivré
par un organisme de certification indépendant.

Cette obligation de certification s’applique à « toute personne qui héberge des

données de santé à caractère personnel recueillies à l’occasion d’activités de
prévention, de diagnostic, de soins ou de suivi social et médico-social, pour
le compte de personnes physiques ou morales à l’origine de la production ou
du recueil de ces données ou pour le compte du patient lui-même (…) »

Elle ne s’applique pas à l’hébergement en interne des données par le

responsable de traitement (c’est-à-dire par l’établissement de santé ou le
professionnel de santé libéral).

En cas d’hébergement externalisé, obligation d’en informer préalablement le

patient qui peut exercer son droit d’opposition pour un motif légitime.

71
 Le développement de la e-santé

72
La télémédecine
C’est une pratique médicale à distance
utilisant les technologies de l’information
et de la communication. Elle met en
rapport, entre eux ou avec un patient, un
ou plusieur(s)professionnel(s) de santé,
parmi lesquels figure(nt) nécessairement
un professionnel de santé médical et, le
cas échéant, d’autres professionnels
apportant leurs soins au patient. Elle
permet d’établir un diagnostic, d’assurer,
pour un patient à risque, un suivi à visée
préventive ou un suivi post-thérapeutique,
de requérir un avis spécialisé, de préparer
une décision thérapeutique, de prescrire
des produits, de prescrire ou de réaliser
des prestations ou des actes, ou
d’effectuer une surveillance de l’état des
patients.
Introduction récente du télésoin :
pratique de soin à distance entre un
patient et un pharmacien ou un auxiliaire
73 médical.
Téléconsultation : consultation donnée à distance à
un patient par un professionnel médical assisté, le
cas échéant, d’autres professionnels
Téléexpertise : avis sollicité à distance par un
professionnel médical auprès d’un ou de plusieurs
professionnels médicaux en raison de leurs
formations ou de leurs compétences particulières, sur
la base des informations liées à la prise en charge
d’un patient
Télésurveillance médicale : interprétation à
distance des données nécessaires au suivi médical
d’un patient, et le cas échéant, prise de toutes les
décisions nécessaires à la prise en charge de ce
patient
Téléassistance médicale :assistance à distance
réalisée par un professionnel médical au profit d’un
autre professionnel de santé au cours de la
réalisation d’un acte
Réponse médicale : donnée dans le cadre de la
régulation médicale.
La télémédecine
Désertification médicale dans certaines
zones
Enjeux variés Augmentation du nombre de personnes
atteintes de maladies chroniques

Spécialisation croissante de la médecine

Volonté de réduire les coûts de transport

et d’hospitalisation

74
La télémédecine
Pratique encadrée par le code de la santé publique (L.6316-1 du CSP + R.
6316-1 du CSP), auquel s’ajoutent les règles générales du RGPD et de la loi
Informatique et libertés.

Consentement préalable, libre et éclairé du patient pour la consultation à distance (+

information adaptée pour les mineurs) + consentement pour l’hébergement externalisé
du dossier médical.

Authentification forte des professionnels de santé et respect des

référentiels de sécurité et d’interopérabilité de l’ANS

Inscription de certaines infos dans le dossier du patient tenu par chaque professionnel
de santé intervenant à l’acte (notamment les incidents techniques)

Obligation d’avoir déjà procédé à une consultation en présentiel dans les

12 mois précédant la téléconsultation (dérogation pendant l’épidémie de
COVID-19)

Formation et compétences techniques des professionnels de santé

75
Les objets connectés en santé
Objet électronique du quotidien qui, via l’ajout de fonctions
supplémentaires et en les reliant à un réseau (en permanence ou non),
permet de récupérer et de traiter des informations ou d’automatiser des
actions de la vie quotidienne.

Médicalisation croissante des appareils
connectés (téléphones, tablettes…), qui
peuvent permettre en continu le recueil
d’informations sur l’état de santé de la
personne. Données qui intéressent les
professionnels de santé mais aussi les
assurances, les banques…
Caractère particulièrement intrusif de ces
objets mais absence de réglementation
propre => Ils sont soumis au respect des
règles générales issues du RGPD et de la
loi informatique et libertés, ainsi qu’à la
réglementation propre aux dispositifs
médicaux s’ils rentrent dans cette
catégorie.
Problème de sécurisation de ces objets (ex : risques de
piratage en raison de défaillance dans la mise en œuvre
de protocoles de sécurité…).
https://www.industrie-techno.com/article/des-chercheurs-parviennent-a-
pirater-un-robot-chirurgien.38074
Défaut d’information des utilisateurs (ex. : CGU longues,
complexes et/ou incomplètes …) qui peut entraîner une
auto-exposition excessive.
Augmentation des potentialités d’exploitation des
données issues de ces dispositifs : masse de données
brutes en apparence anodines (ex : gyroscope) mais qui
peuvent permettre de déduire des informations ayant
une signification différente (ex : habitudes de vie de la
personne …) grâce à des algorithmes sophistiqués.

76
 La recherche en santé

77
Le régime spécifique applicable aux recherches en santé

Pour les recherches dans le domaine de la santé, la loi Informatique et libertés a maintenu
l’existence d’un régime spécifique reposant sur la mise en œuvre de formalités administratives
préalables SAUF pour les recherches internes.

Recherche soumise à
Recherche soumise à
des formalités OU
autorisation CNIL
simplifiées

Déclaration de conformité à l’une Pour tout projet de recherche dans

méthodologie de référence le domaine de la santé qui ne
rentre pas dans le cadre d’une MR

MR- MR- MR- MR- MR- MR-

001 002 003 004 005 006 Avis du comité de protection des
personnes (CPP) ou du Comité
d’expertise pour les recherches, les
études ou les évaluations dans le
domaine de la santé (CEREES)
Recherches impliquant la Recherches n’impliquant pas la
personne humaine (RIPH) personne humaine (RNIPH)

Autorisation
78
CNIL
Les recherches internes
3 conditions pour qu’une recherche soit considérée comme interne :
Elle est menée à partir de données recueillies dans le cadre du suivi (thérapeutique ou médical)
individuel des patients
Par les personnels assurant le suivi
Ex. : médecin cardiologue exerçant à l’hôpital
Pour leur usage exclusif
ou une personne agissant sous sa responsabilité
souhaite, à son seul bénéfice, faire une étude
(ex : indicateurs, taux de rémission, survie etc.)
sur les patients qu’il a suivis dans son service

Pas de formalité administrative requise mais inscription du traitement au registre.

Si RNIPH, pas de démarche auprès du CEREES.

Nécessité d’informer les personnes concernées (ex. : livret d’accueil, panneau d’affichage...)

79
Que dois-je faire ?

RIPH RNIPH

Recherches non
Etudes
interventionnelles
RIPH Études non Etudes et nécessitant Etudes
+ essais
interventionnelle interventionnelles évaluations dans l’accès au PMSI nécessitant
cliniques de
ou recherche de performance le domaine de la et/ou des RPU l’accès aux
médicaments
nécessitant un des dispositifs santé par les données du
par grappe +
examen des médicaux de n’impliquant pas établissements PMSI par les
recherches
caractéristiques diagnostic in la personne de santé et les industriels de
interventionnelles
génétiques vitro humaine fédérations santé
à contraintes
hospitalières
minimes

MR-001 MR-002 MR-003 MR-004 MR-005 MR-006

Information générale et individuelle du patient Information Information générale du patient

générale et
individuelle
du patient
Consentement Consentement
exprès, libre et requis dans
éclairé certains cas

Pour être conformes à une MR, les études doivent présenter un caractère d’intérêt public + avoir fait l’objet d’une analyse d’impact.
80
Synthèse des démarches (1/2)

Source : CNIL

81
Synthèse des démarches (2/2)

82 Source : CNIL
Liens vers les méthodologies de référence

MR 001 : https://www.cnil.fr/fr/declaration/mr-001-recherches-dans-le-
domaine-de-la-sante-avec-recueil-du-consentement

MR 002 : https://www.cnil.fr/fr/declaration/mr-002-etudes-non-
interventionnelles-de-performances-concernant-les-dispositifs-medicaux

MR 003 : https://www.cnil.fr/fr/declaration/mr-003-recherches-dans-le-
domaine-de-la-sante-sans-recueil-du-consentement

MR 004 : https://www.cnil.fr/fr/declaration/mr-004-recherches-
nimpliquant-pas-la-personne-humaine-etudes-et-evaluations-dans-le

MR 005 : https://www.cnil.fr/fr/declaration/mr-005-etudes-necessitant-
lacces-aux-donnees-du-pmsi-etou-des-rpu-par-les-etablissements

MR 006 : https://www.cnil.fr/fr/declaration/mr-006-etudes-necessitant-
lacces-aux-donnees-du-pmsi-par-les-industriels-de-sante

83
 Sources bibliographiques
et liens utiles

84
 https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf

https://www.cabinetderoulez.com/fr/blog/objets-connecte-sante

https://www.has-sante.fr/upload/docs/application/pdf/2016-
11/has_ref_apps_oc.pdf

https://esante.gouv.fr/sites/default/files/media_entity/documents/cadrejur_
HIT2018_VF.pdf

https://esante.gouv.fr/sites/default/files/media_entity/documents/180528_P
GSSI-S.pdf

https://www.cnil.fr/sites/default/files/typo/document/CNIL_CAHIERS_IP2_W
EB.pdf

https://www.dataprotection.ro/servlet/ViewDocument?id=1291

85